Witam, wcześniej napisałem jak w labie postawić Cisco ASAv, dziś pokażę jak szybko i bez problemów skonfigurować dwie wirtualki w trybie failover A/P – jedyny tryb który obsługuje na chwilę obecną.
Rysunek poglądowy:
Założenia konfiguracyjne:
Interfejs | Praimary | Secondary | zona |
GigabitEthernet 0/0 | 192.168.1.80 | 192.168.1.81 | NET_LAB |
GigabitEthernet 0/1 | 172.16.1.1 | 172.16.1.2 | LAN |
GigabitEthernet 0/8 | 10.255.255.1 | 10.255.255.2 | Sync |
Konfiguracja Workstation:
przechodzimy do Edycji wirtualnej maszyny, na przykładzie ASAv01 pokażę co i jak:
wybieramy Network Adapter 3 – który odpowiada GigabitEthernet 0/1 nasz LAN, wybieramy LAN Segment, oraz musimy utworzyć odpowiedni LAN segment – przechodzimy do LAN Segments pojawia się nam okno:
gdzie klikamy add i dodajemy LAN_ASA oraz SYNC_ASA. Klikamy OK, i z listy wybieramy LAN_ASA. przechodzimy do Network Adapter 10 – który odpowiada GigabitEthernet 0/8 i wybieramy LAN Segment i z listy wybieramy SYNC_ASA:
Klikamy ok, powtarzamy ten krok dla ASAv02 bez tworzenia Lan Segmentów.
przechodzimy do właściwej konfiguracji. Konfigurację możemy wykonać z poziomu Workstation lub po ssh.
Konfiguracja Cisco ASA
Konfiguracja Primary Node
//Podnosimy interfejs który będzie służył nam jak failover asav01(config)# int gigabitEthernet 0/8 asav01(config-if)# no sh asav01(config-if)# exit //Przechodzimy do konfiguracji HA asav01(config)# failover lan unit primary asav01(config)# failover lan interface Sync GigabitEthernet0/8 INFO: Non-failover interface config is cleared on GigabitEthernet0/8 and its sub-interfaces //Nadajemy IP asav01(config)# failover interface ip sync 10.255.255.1 255.255.255.0 standby 10.255.255.2 //Nadajemy hasło asav01(config)# failover key 0 CiscoASAV asav01(config)# interface GigabitEthernet0/0 //Ze względu że nie mam dedykowanego interfejsu do MGMT nadaję ip dla noda który jest standby. asav01(config-if)# ip address 192.168.1.80 255.255.255.0 standby 192.168.1.81
Secondary Node
asav02(config)# int gigabitEthernet 0/8 asav02(config-if)# no sh asav02(config-if)# exit asav02(config)# failover lan unit secondary asav02(config)# failover lan interface Sync GigabitEthernet0/8 INFO: Non-failover interface config is cleared on GigabitEthernet0/8 and its sub-interfaces asav02(config)# failover interface ip sync 10.255.255.1 255.255.255.0 standby 10.255.255.2 asav02(config)# failover key 0 CiscoASAV
Po wykonaniu powyższego wykonujemy reboot.
Jedna z fajnych pomocnych konfiguracji, która pomoże nam rozpoznawać urządzenia
asav01(config)# prompt state hostname priority
prompt zmienia na:
act/asav01/pri#
Przechodzimy do konfiguracji segmentu LAN
act/asav01/pri(config)# interface gigabitEthernet 0/1 act/asav01/pri(config-if)# ip address 172.16.1.1 255.255.255.0 standby 172.16.1.2 act/asav01/pri(config-if)# security-level 100 act/asav01/pri(config-if)# nameif LAN act/asav01/pri(config-if)# no sh
Włączamy monitor dla Interfejsów LAN oraz NET_LAB
act/asav01/pri(config)# monitor-interface LAN act/asav01/pri(config)# monitor-interface NET_LAB
Sprawdzamy Interfejsy:
act/asav01/pri# show ip System IP Addresses: Interface Name IP address Subnet mask Method GigabitEthernet0/0 NET_LAB 192.168.1.80 255.255.255.0 CONFIG GigabitEthernet0/1 LAN 172.16.1.1 255.255.255.0 manual GigabitEthernet0/8 Sync 10.255.255.1 255.255.255.0 unset Current IP Addresses: Interface Name IP address Subnet mask Method GigabitEthernet0/0 NET_LAB 192.168.1.80 255.255.255.0 CONFIG GigabitEthernet0/1 LAN 172.16.1.1 255.255.255.0 manual GigabitEthernet0/8 Sync 10.255.255.1 255.255.255.0 unset
stby/asav01/sec# show ip address System IP Addresses: Interface Name IP address Subnet mask Method GigabitEthernet0/0 NET_LAB 192.168.1.80 255.255.255.0 CONFIG GigabitEthernet0/1 LAN 172.16.1.1 255.255.255.0 manual GigabitEthernet0/8 Sync 10.255.255.1 255.255.255.0 unset Current IP Addresses: Interface Name IP address Subnet mask Method GigabitEthernet0/0 NET_LAB 192.168.1.81 255.255.255.0 CONFIG GigabitEthernet0/1 LAN 172.16.1.2 255.255.255.0 manual GigabitEthernet0/8 Sync 10.255.255.2 255.255.255.0 unset
Czas na sprawdzenie jak to wygląda z perspektywy urządzenia dla którego bramą jest nasz klaster, który właśnie skonfigurowaliśmy.
Logujemy się do naszej stacji roboczej i puszczamy ping na gw i wykonujemy polecenie failover active na standby:
Tu spotkałem małe rozczarowanie traciłem dostęp do sieci NET_LAB, po dłuższym przeszukaniu przyczyny znalazłem winowajcę – jest to Workstation. ponieważ nie radzi sobie z przeniesieniem mac adresów w mojej konfiguracji. Nie długo skończę składanie labowego serwerka to i na nim będę miał już normalny hypervisor nie workstation i skończy się mój problem. Jest na to inne żeby wszędzie wykorzystać LAN segments w Workstation.
Poleceniem show failover sprawdzamy statusy interfejsów:
po przełączeniu as wraca wszystko do normy:
od strony LAN wszystko działa jak widać wyżej.
Na tym kończę dzisiejszy wpis mam nadzieję że komuś przyda się wpis.
Cześć Pierwsza – Instalacja ASAv w Labie
Link do dokumentacji CISCO w tym temacie